限制直接通过地址栏键入链接地址访问xml配置文件

最新推荐文章于 2018-06-30 16:10:15 发布
最新推荐文章于 2018-06-30 16:10:15 发布
阅读量403 收藏
点赞数
文章标签: web.xml
原文链接:https://segmentfault.com/a/1190000004135925
版权

前言

在实际的web项目中,有些配置项会放在xml文件里面,对于xml文件,我们其实并不希望访问者进行访问,毕竟xml文件里面可能配置了一些较为敏感的信息,比如内网IP、用户名及密码等。
对此,希望能够限制访问者直接在地址栏键入链接地址访问到xml文件。

方法

1、 判断请求方式(POST、GET)

在web项目内读取xml文件一般进行的是POST请求,而通过地址栏键入地址访问则为GET请求,依次来区分。

       public void doFilter(ServletRequest request, ServletResponse response,
                    FilterChain chain) throws IOException, ServletException {
            HttpServletRequest httpreq = (HttpServletRequest) request;
            String method = httpreq.getMethod();
            if("GET".equals(method)) {
                httpres.sendRedirect(httpreq.getContextPath() + "/error.html");
                return;
            }
            chain.doFilter(request, response);
        }

当然,在web.xml里面也要相应的配置filter:

        <filter>
            <filter-name>authVisitPage</filter-name>
            <filter-class>web.AuthVisitFilter</filter-class>
        </filter>
        <filter-mapping>
            <filter-name>authVisitPage</filter-name>
            <url-pattern>*.xml</url-pattern>
        </filter-mapping>

2、 利用document.referrer属性

referrer是与对网页的请求有关的document对象中的属性。referrer属性中保存着链接到当前页面的那个页面的URL,在没有来源页面的情况下,referrer属性中可能会包含空字符串。
该属性不可设置。

       public void doFilter(ServletRequest request, ServletResponse response,
                    FilterChain chain) throws IOException, ServletException {
            HttpServletRequest httpreq = (HttpServletRequest) request;
            String referer = httpreq.getHeader("Referer");
            if(referer == null) {
                httpres.sendRedirect(httpreq.getContextPath() + "/error.html");
                return;
            }
            chain.doFilter(request, response);
        }

这里只是判断referer是否为空,但忽略了一种情况:
假设已知xml的路径(如:http://域名/configs/*.xml),我们可以在本地新建一个web工程,里面增加一个跳转

    <a href="http://域名/configs/*.xml">跳转</a>

如果还是用之前的过滤器,只是判断referer是否为空的话,是不能够过滤掉这种跳转过来的访问请求。对此,过滤器需要增加判断:禁止非内部访问

       public void doFilter(ServletRequest request, ServletResponse response,
                    FilterChain chain) throws IOException, ServletException {
            HttpServletRequest httpreq = (HttpServletRequest) request;
            String referer = httpreq.getHeader("Referer");
            String host = httpreq.getHeader("Host");
            if(referer == null || referer.indexOf(host) < 0) {
                httpres.sendRedirect(httpreq.getContextPath() + "/error.html");
                return;
            }
            chain.doFilter(request, response);
        }

总结

  • 对于第一种方法,应该也存在跳转访问这个bug,同时这种方法就要求内部所有对xml的访问都应确保为POST方式。这样一对比的话,感觉第二种方法可能会更好。

  • 对这个需求如果进行扩展的话,可以限制不想被访问者直接访问的所有文件类型。

weixin_34234823
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS配置文件XML格式不正确 applicationHost.config被破坏 恢复解决办法
01-10
当打开IIS管理器,或配置网站时提示错误:配置文件XML格式不正确 且是applicationHost.config的问题,那么肯定是applicationHost.config被破坏,IIS就崩溃。 解决办法就是恢复applicationHost.config 先检查C:\...
通过需要授权访问的http读取xml文件
weixin_30252155的博客
04-30 116
有时候读取的xml位于一个需要授权才能访问的http站点上 读取最简单可以使用以下方法: request=(HttpWebRequest)WebRequest.Create(url); request.Method="GET"; request.Credentials=newNetworkCredential(form.username,form.p...
xml配置文件快捷提示
12-16
在开发过程中,正确配置XML文件能够极大地提高工作效率。本篇将深入探讨XML配置文件中的快捷提示和配置方法,以帮助开发者快速理解和应用。 首先,XML配置文件的核心是元素(Element),它是XML文档的基本构建块。...
AndroidSigning:配置keyStore并键入xml并轻松签署apk
02-04
虽然在上述示例中没有直接创建XML文件,但你可以选择将签名信息提取到单独的XML文件中,然后在`build.gradle`中引用。例如,创建一个名为`signing.properties`的文件,包含如下内容: ``` storeFile=path/to/your/...
实时监控IE地址栏地址
12-11
在IT领域,实时监控IE(Internet Explorer)地址栏地址是一项重要的技术,主要应用于网络管理和安全控制。本技术的核心是通过编程手段获取用户在IE浏览器中输入的URL(统一资源定位符),进而实现对用户浏览行为的...
rebirth:通过配置文件生成目录结构
06-27
通过ash文件生成目录结构。 灰文件 目录结构规范。 这就是所有的魔法。 一个 ash 文件包含三个部分: 定义选项 一切都是字符串,您甚至不需要键入引号。 但是,真假是分开处理的。 $ tab = 4 $ extAsName = true ...
apache config httpd.conf file防止目录列表被浏览、敏感目录或文件限制IP访问
gongpeng1966的专栏
04-28 2731
Options FollowSymLinks Includes ExecCGI     #     # AllowOverride controls what directives may be placed in .htaccess files.     # It can be "All", "None", or any combination of the keywords:   
web.xml控制Web应用的行为( 限制对Web资源的访问)
小人物的专栏
10-12 3133
 限制对Web资源的访问       现在,可以指示服务器使用何种验证方法了。"了不起,"你说道,"除非我能指定一个来收到保护的URL,否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-co
关于HTTP访问XML文件的随笔
只谈技术
05-23 951
最近项目中要用到一些web xml数据的访问分析,采用msxml 1.msxml是微软提供的,在非开发环境中,需要注册 2.xml文件,一般在第一句有编码方式,一般默认是utf-8,属于一种unicode 3.从网络采集的xml数据,需要使用winnet函数库 4.winnet采集自网络的数据,默认的都是CP_ACP格式的,简单说就是ANSI或UNICODE,UTF
关于拦截器,防止从地址栏输入action或者controller直接访问
qq_37370501的博客
06-30 6273
为了防止非法访问,访客能够从地址栏直接进入的只能有login.jsp。可以从过滤器进行限制。资料来源于网络。这里只做整理和记录。1.新建一个类,命名为filter,可以重新再src下新建一个包,在包中添加一个class,然后命名。本次在src下新建一个package,命名为filter,在该包下新建一个class,命名为filter,在该class中编写过滤器:package filter; i...
Linux Tomcat server.xml 配置访问路径
热门推荐
qq_34869577的博客
03-29 2万+
一、进入tomcat7/conf目录,找到server.xml文件编辑 Java代码  vi /home/java/tomcat7/conf/server.xml   二、修改端口,把tomcat默认的8080端口修改成80端口,这样访问就不需要加上端口号即把Java代码  &lt;Connector port="8080" protocol="HTTP/1.1"                 ...
cmd直接强制删除拒绝访问文件
最新发布
06-09
在任务栏搜索框中键入“cmd”并按下回车键,即可打开命令提示符。 2. 使用 `cd` 命令进入要删除的文件文件夹所在的目录。 3. 使用以下命令强制删除文件文件夹: ``` del /f 文件名 ``` ``` rmdir /s /q ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值